Dos escuadrones de ciberespionaje alineados con Rusia han estado llevando a cabo una sofisticada campaña de phishing dirigido contra entidades de la sociedad civil rusa y occidental durante dos años, según Citizen Lab. En un nuevo informe publicado el 14 de agosto de 2024, el grupo de investigación de la Universidad de Toronto compartió que Coldriver, un notorio grupo de piratería respaldado por el Servicio Federal de Seguridad de Rusia (FSB), estaba detrás de la campaña. Los objetivos incluyen figuras prominentes de la oposición rusa en el exilio, financiadores de organizaciones de medios y personal de ONG estadounidenses y europeas. La actividad se llevó a cabo junto con Coldwastrel, un grupo recién descubierto. Si bien Citizen Lab reconoce que los ataques de Coldwastrel «se alinean con los intereses del gobierno ruso», el grupo de investigación no atribuyó formalmente al nuevo actor de amenazas a ningún país. Descifrando la campaña River of Phish La campaña de phishing dirigido, denominada River of Phish, fue descubierta después de una investigación de un mes por parte de los investigadores de Citizen Lab en colaboración con Access Now, una organización sin fines de lucro de defensa de los derechos digitales, así como otras organizaciones de la sociedad civil. Comenzó en 2022, coincidiendo con la invasión a gran escala de Ucrania por parte de Rusia. El enfoque típico de los piratas informáticos consiste en un intercambio de correos electrónicos con el objetivo durante el cual el remitente se hace pasar por alguien conocido y le solicita que revise un documento relevante para su trabajo, como una propuesta de subvención o el borrador de un artículo. El mensaje de correo electrónico suele contener un señuelo en forma de archivo PDF adjunto que pretende estar cifrado o «protegido», mediante un servicio en línea centrado en la privacidad, como ProtonDrive, por ejemplo. Si el objetivo hace clic en el enlace, su navegador obtendrá un código JavaScript del servidor Hostinger del atacante que calcula una huella digital del sistema del objetivo y la envía al servidor. A continuación, el objetivo será redirigido a una página web creada por el atacante para que parezca una página de inicio de sesión auténtica para el servicio de correo electrónico del objetivo (por ejemplo, Gmail o ProtonMail). Si el objetivo ingresa su contraseña y código de autenticación de dos factores (2FA) en el formulario, estos elementos se enviarán al atacante, quien los usará para completar el inicio de sesión y obtener una cookie de sesión para la cuenta del objetivo. «Esta cookie permite al atacante acceder a la cuenta de correo electrónico del objetivo como si fuera el propio objetivo. El atacante puede seguir usando este token durante algún tiempo sin volver a autenticarse», señalaron los investigadores de Citizen Lab. El informe también menciona técnicas adicionales para hacer que todo el proceso parezca legítimo y evitar la detección, como omitir intencionalmente el PDF adjunto en un correo electrónico o completar previamente la página de inicio de sesión de correo electrónico falsa con la dirección de correo electrónico del objetivo. El uso de dominios de Hostinger, que generalmente se alojan en servidores compartidos que rotan las direcciones IP aproximadamente cada 24 horas, hace que la campaña sea más difícil de rastrear. Coldriver, un actor de amenazas de larga data respaldado por el FSB Esta campaña se alinea con la actividad anterior de Coldriver. También conocido como Star Blizzard, (Blue) Callisto y Blue Charlie, Coldriver es un grupo de ciberespionaje con sede en Rusia que se cree que está vinculado al Centro 18 del FSB. Citizen Lab dijo que el grupo ha estado activo desde al menos 2019. Algunas empresas de ciberseguridad, incluida F-Secure, creen que el grupo estuvo activo ya en 2017 o incluso en 2015. Se sabe que se centra en campañas de phishing de credenciales dirigidas a ONG de alto perfil, ex oficiales militares y de inteligencia y gobiernos de la OTAN con fines de espionaje. Citizen Lab ha atribuido la campaña River of Phish a Coldriver después de comparar los resultados de su investigación con materiales del Centro de Inteligencia de Amenazas de Seguridad de Microsoft (MSTIC), Proofpoint y PwC, entre otros. Coldwastrel, un nuevo grupo de piratería alineado con Rusia Además, los investigadores de Citizen Lab concluyeron que un grupo de ciberespionaje distinto de Coldriver también participó en la campaña River of Phish. Este actor de amenazas, al que Citizen Lab denominó Coldwastrel, estuvo detrás de los correos electrónicos enviados a los miembros del personal de Access Now desde marzo de 2023. Aunque las tácticas de este grupo eran similares a las de Coldriver, los investigadores encontraron numerosas diferencias, entre ellas la versión en PDF y el lenguaje utilizado en la campaña de phishing, así como diferencias en la infraestructura operativa.